Internes Kontrollsystem: Worauf kommt es an?

Das Finanzmarktintegritätsstärkungsgesetz (FISG) verpflichtet börsennotierte Unternehmen, ein angemessenes und wirksames „Internes Kontrollsystem“ (IKS) einzurichten. Für die Finanzbranche ist das nichts Neues. Kredit- und Finanzdienstleistungsinstitute sowie Versicherungsunternehmen sind nach dem Kreditwesen- beziehungsweise Versicherungsaufsichtsgesetz ohnehin dazu verpflichtet, eine ordnungsgemäße Geschäftsorganisation zu etablieren, was ein wirksames IKS einschließt.

Aber mit dem FISG hat das Kontrollsystem noch einmal an Bedeutung gewonnen. Bei Aktiengesellschaften ist die Überwachung des IKS – und damit auch die Sicherstellung einer zeitgemäßen Ausgestaltung – Aufgabe des Aufsichtsrats (§ 107 Abs. 3 AktG). Diese Verpflichtung wurde in andere Gesetze übernommen (z. B. Sparkassengesetz NRW, Genossenschaftsgesetz) und findet sich mittlerweile in fast allen Geschäftsordnungen für Aufsichtsräte wieder.

Wann ist ein Internes Kontrollsystem zeitgemäß? Worauf kommt es an? Für ein IKS, das einerseits die regulatorischen Anforderungen erfüllt und anderseits Effizienz und Effektivität berücksichtigt, sollten Unternehmen drei zentrale Aspekte berücksichtigen: die prozessuale Betrachtung, das Festlegen von Verantwortlichkeiten und eine nachweisbare Dokumentation.

Prozessuale Betrachtung ist Marktstandard

Im Gegensatz zur rein funktionalen Betrachtung von einzelnen Bereichen und Abteilungen hat sich in den letzten Jahren die prozessuale und übergreifende Sicht- und Denkweise etabliert. Sie bietet die Möglichkeit, inhärente Risiken entlang aller Unternehmensabläufe zu identifizieren und mitigierende Schlüsselkontrollen zu verorten. Häufig verlinken Unternehmen die prozessinhärenten Risiken zum Risikokatalog der nichtfinanziellen Risiken. Das bringt Effizienzvorteile, weil keine zusätzliche Risikoklassifizierung und -bewertung für das IKS erforderlich ist. Außerdem lassen sich so Lösungen für die Definition und Identifikation von Schlüsselkontrollen ableiten.

Einen „Kümmerer“ festlegen

Eine starke und festgelegte Governance schafft Transparenz und beugt Unklarheiten vor. Neben dezentralen Verantwortlichkeiten, die anhand eines Rollenkonzepts für die einzelnen Prozess- und Kontrollabläufe fixiert werden, sollten Unternehmen einen zentralen „Kümmerer“ für das IKS etablieren. In der Praxis wird diese Rolle häufig als „IKS-Zentrale“ bezeichnet und in den Bereichen Compliance, Organisation oder Risikomanagement verortet. Die Passgenauigkeit ist unternehmensindividuell zu identifizieren und zu bewerten. Auch die Aufgabenbreite und -tiefe unterscheidet sich von Haus zu Haus. Die Vorgabe von Leitlinien und das Bereitstellen einer einheitlichen Methodik sind jedoch geübte Praxis.

Darüber hinaus bilden die regelmäßige Überprüfung von Kontrollen sowie die Berichterstattung wesentliche Elemente eines zeitgemäßen IKS. Nicht zuletzt aufgrund der gesetzlichen Vorgaben – die Geschäftsleitung muss für die Implementierung eines angemessenen und wirksamen IKS sorgen und das Aufsichtsorgan ist für die Überwachung der Wirksamkeit verantwortlich – erscheint es ratsam, Überwachungsaufgaben mit in das Aufgabenspektrum einer IKS-Zentrale zu integrieren.

Kontrollen einheitlich dokumentieren

Mindeststandards zur Beschreibung von Kontrollen, idealerweise durch die IKS-Zentrale, sorgen für eine einheitliche und transparente Dokumentation. Diese trägt einerseits zu einem gemeinsamen Verständnis aller Beteiligten bei. Andererseits dient die Dokumentation als Nachweis gegenüber Dritten wie beispielsweise den Abschlussprüfer*innen und/oder den Aufsichtsbehörden. Früher galten die sogenannten „Risiko-Kontroll-Matrizen“ als Marktstandard. Heute sind davon nur noch die Attribute dieser Matrizen übrig, darunter die Kontrollart, die Kontrollbeschreibung oder die Frequenz. Die Abbildung erfolgt dabei immer seltener in einfachen Tabellenprogrammen, sondern vermehrt in entsprechenden IT-Tools, welche die gesamten Prozess- und Kontrollabläufe der Unternehmen dokumentieren.

Bei der Auswahl von Prozessmodellierungstools sollten möglichst von Anfang an sogenannte „GRC-Komponenten“ (Governance, Risk & Compliance) berücksichtigt werden. So lässt sich das IKS automatisierter und effizienter steuern und überwachen. Die Praxis zeigt: Tools mit GRC-Möglichkeiten liegen im Trend. Auch die Kontrollen wollen nach einheitlichen Standards dokumentiert werden. Das „Wie“ und „Wo“ der durchgeführten Kontrollen – ihre Dokumentation – dient zudem als Nachweis bei der Beurteilung, ob die Kontrollen tatsächlich angemessen und wirksam waren. Auch hier können GRC-Tools prozessual und technisch unterstützen.

IKS-Regelkreis stellt Aktualität sicher

Wer überprüfen will, ob sein IKS noch angemessen, wirksam und aktuell ist, sollte dafür einen entsprechenden Regelprozess einführen. In der Praxis hat sich der sogenannte „IKS-Regelkreis“ herausgebildet. Dabei handelt es sich um einen regelmäßigen Durchlauf von vier Phasen:

1. Prozess-, Risiko- und Kontrollanalyse
2. Kontrollidentifikation und -dokumentation
3. Überwachung der Wirksamkeit
4. Berichterstattung

Der Regelkreis wird von der IKS-Zentrale begleitet und moderiert. Er stellt sicher, dass das IKS risikoorientiert validiert und angepasst werden kann. Außerdem gewährleistet er, dass Ergebnisse über die Angemessenheit und Wirksamkeit des IKS erzeugt werden können. Die zusammenfassende Berichterstattung ist ein wichtiges Instrumentarium für den Aufsichtsrat, um seiner Überwachungsaufgabe nachzukommen.

Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, X und XING.